O Node.js lançou uma nova rodada de atualizações de segurança abordando 12 vulnerabilidades em suas linhas de lançamento suportadas, incluindo duas falhas de alta gravidade que poderiam levar a bypass de autenticação e ataques de negação de serviço (DoS). As atualizações afetam as versões do Node.js 22.x, 24.x e 26.x, com versões corrigidas agora disponíveis desde 18 de junho de 2026.
Vulnerabilidades de alta severidade
A questão mais crítica, rastreada como CVE-2026-48618, envolve o tratamento inadequado de separadores de ponto Unicode na verificação de nome de host TLS. Essa falha cria uma incompatibilidade entre como os nomes de host são normalizados pelo resolvedor e verificador, potencialmente permitindo que atacantes contornem a autenticação baseada em wildcard TLS.
Em certas configurações, isso poderia permitir acesso não autorizado ou comprometer a confidencialidade de comunicações seguras, tornando-o particularmente perigoso para aplicações que dependem de validação estrita de certificado. Outra vulnerabilidade de alta gravidade, CVE-2026-48933, afeta a API WebCrypto no Node.js. O problema decorre de uma condição de transbordamento de inteiro acionada quando a entrada para a função subtle.encrypt() é um múltiplo de 2 GiB.
A exploração bem-sucedida pode causar o crash de um processo remoto, levando a condições de negação de serviço em aplicações afetadas. Essa falha destaca riscos em implementações criptográficas ao lidar com entradas grandes ou malformadas.
Outras vulnerabilidades corrigidas
Uma falha notável, CVE-2026-48934, permite que a verificação de identidade de host TLS seja contornada via reutilização de sessão com um nome de servidor diferente. Isso poderia resultar em conexões não autorizadas se os parâmetros de sessão forem reutilizados indevidamente. Outro problema, CVE-2026-48928, envolve correspondência de nome de host sensível a maiúsculas em contextos SNI, potencialmente permitindo bypass de autorização mTLS em implantações de multi-contexto.
O Node.js também corrigiu o CVE-2026-48930, no quais bytes nulos embutidos em nomes de host poderiam levar à rebind silenciosa de autoridade devido a problemas de truncamento do resolvedor. Além disso, o CVE-2026-48619 expõe clientes HTTP/2 a crescimento ilimitado de memória ao processar quadros ORIGIN controlados por atacantes, potencialmente causando exaustão de recursos.
Uma questão de gravidade média, CVE-2026-48615, poderia vazar credenciais de proxy através de mensagens de erro ao usar túneis de proxy. Se as credenciais estiverem embutidas em URLs de proxy, elas podem ser expostas via logs ou saídas de diagnóstico, aumentando o risco de comprometimento de credenciais.
Atualizações de dependência
A liberação também inclui atualizações importantes de dependência para mitigar vulnerabilidades conhecidas em componentes de terceiros. Pacotes atualizados incluem llhttp 9.4.2, nghttp2 1.69.0, OpenSSL 3.5.7 e múltiplas versões do cliente HTTP undici em diferentes linhas de lançamento. As atualizações de dependência são cruciais para garantir que vulnerabilidades em bibliotecas subjacentes não sejam exploradas através do runtime do Node.js.
Recomendações para desenvolvedores
Os especialistas em segurança recomendam fortemente a atualização para as versões corrigidas mais recentes, incluindo Node.js v22.23.0, v24.17.0 e v26.3.1, para mitigar esses riscos. Como em releases anteriores, versões de fim de vida permanecem vulneráveis e não devem ser usadas em ambientes de produção. Esta atualização sublinha a importância de manter ambientes de runtime atualizados, especialmente para plataformas amplamente implantadas como o Node.js que formam a espinha dorsal de aplicações web modernas e APIs.
As equipes de DevSecOps devem priorizar a aplicação desses patches em seus ambientes de desenvolvimento e produção. A implementação de varreduras de dependência automatizadas pode ajudar a identificar rapidamente quais projetos estão usando versões vulneráveis e necessitam de atualização imediata para evitar exposição a ataques de negação de serviço ou bypass de autenticação.